Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα: Πρώτες αποφάσεις, πρώτες κυρώσεις και πρόστιμα


Όλοι θυμόμαστε τις αμέσως προηγούμενες ημέρες από την ισχύ του Γενικού Ευρωπαϊκού Κανονισμού για την Προστασία των Δεδομένων Προσωπικού Χαρακτήρα, δηλαδή του γνωστού GDPR, τον καταιγισμό μηνυμάτων, e-mails, sms και οποιουδήποτε μέσου επικοινωνίας, προκειμένου οι επιχειρήσεις να λάβουν την “πολυπόθητη” (και υπερεκτιμημένη) συγκατάθεση για τη συνέχιση της επικοινωνίας τους.

Με τον τρόπο αυτό, προσπάθησαν οι επιχειρήσεις να εξασφαλίσουν τη συγκατάθεση των φυσικών προσώπων (πελατών, προμηθευτών τους), ώστε να εξακολουθήσουν να διαφημίζονται απ’ευθείας, με προσωπικό μήνυμα. Βέβαια, κάποιοι “γκουρού” του Κανονισμού έκρουαν τότε τον κώδωνα του κινδύνου, καθώς, έδωσαν μία μοναδική ευκαιρία στο κοινό να απελευθερώσει χώρο στα ηλεκτρονικά αρχεία τους, αφού προηγουμένως, το κλικ στο “unsubscribe” δε λειτουργούσε!

Προσπερνάμε το γεγονός του κατά πόσο ήταν άχρηστο όλο αυτό που έγινε, διότι, σύμφωνα με το παλαιό καθεστώς προστασίας προσωπικών δεδομένων, η συγκατάθεση των ανθρώπων αυτών υπήρχε, εφόσον δεν είχαν μέχρι εκείνη τη στιγμή εναντιωθεί στην επικοινωνία (η σιωπή ισοδυναμούσε με συγκατάθεση τότε, ενώ τώρα ισοδυναμεί με άρνηση και η συγκατάθεση πρέπει να είναι ρητή και συγκεκριμένη και αποδεδειγμένη, για να είναι έγκυρη). Προσπερνάμε, επίσης και το γεγονός ότι “άδειασαν” πολλές βάσεις δεδομένων των τμημάτων Marketing με πελατολόγιο επιχειρήσεων.

Το σημαντικό είναι ότι οι επιχειρήσεις αυτές πίστεψαν ότι με μία απλή επιστολή είχαν εκπληρώσει τις υποχρεώσεις τους ως προς τη συμμόρφωση με τον Κανονισμό και επαναπαύθηκαν, ώστε δεν έκαναν τίποτα περαιτέρω. Σε αυτό συντέλεσε η άγνοια και η έλλειψη ενημέρωσης στο κοινό, αλλά και από μέρους πολλών συμβούλων. Όμως ο επιχειρηματίας είναι αυτός που πληρώνει τις ενέργειές του, στο τέλος της ημέρας, οπότε, ας δούμε κάποιες εξελίξεις από πλευράς κυρώσεων.

Σε καταγγελία πελάτη γυμναστηρίου που παραπονείτο ότι έλαβε διαφημιστικά σύντομα γραπτά μηνύματα ανεπιθύμητης ηλεκτρονικής αλληλογραφίας στο κινητό του τηλέφωνο από το εν λόγω γυμναστήριο η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ), ενεργώντας ως Εποπτική Αρχή, με την υπ’ αριθμ. 11/2019 επέβαλε κυρώσεις στο γυμναστήριο, όπως απαγόρευση:

– Να στέλνει διαφημιστικά μηνύματα στους πελάτες του οι οποίοι αποτέλεσαν παραλήπτες του από 24/5/2018 μηνύματος, με το οποίο ζητήθηκε η συγκατάθεσή τους, μόνο εφόσον έχουν παράσχει τη συγκατατεθεί αυτή.

– Να μεριμνήσει για την προηγούμενη  κατάλληλη ενημέρωση κατά το στάδιο της συλλογής των προσωπικών δεδομένων για το σκοπό της επεξεργασίας και παροχή δυνατότητας αντίταξης τόσο κατά το στάδιο αυτό όσο και σε κάθε μήνυμα, με σαφή και ευδιάκριτο τρόπο.

– Να μεριμνήσει ώστε να διακόπτει αμέσως την αποστολή διαφημιστικών μηνυμάτων σε όσους εκφράσουν αντίρρηση και να λειτουργεί απρόσκοπτα τυχόν διεύθυνση ηλεκτρονικού ταχυδρομείου, μέσω και της οποίας παρέχεται η δυνατότητα στα υποκείμενα των δεδομένων να αντιταχθούν.

Σημειωτέον ότι η συγκεκριμένη επιχείρηση έστειλε στις 24/5/2018 το μήνυμα “Δώστε μας την άδεια να σας ενημερώνουμε για προσφορές με κλικ εδώ …….. και σας δίνουμε 1 μήνα δωρεάν συνδρομή.”.Ο καταγγέλλων ανέφερε στην καταγγελία του ότι δεν συγκατατέθηκε στην εν λόγω επεξεργασία διότι δεν επέλεξε τον παρεχόμενο σύνδεσμο.

Στις 16-5-2019 εκδόθηκε επίσης η απόφαση υπ’ αριθμ 13/2019 της AΠΔΠΧ, η οποία έκρινε σχετικά με δύο διαφορετικές, αντίστοιχα, καταγγελίες από πολίτες, οι οποίοι ανέφεραν ότι κλήθηκαν από τηλεφωνικό αριθμό για σκοπό προώθησης ιατρικών υπηρεσιών σε συγκεκριμένες ημερομηνίες και ώρες, σε αριθμό που έχει εγγραφεί στο μητρώο του άρθρου. 11 του νόμου 3471/2006 του παρόχου του.

Οι τηλεφωνικές διαφημιστικές κλήσεις με ανθρώπινη παρέμβαση, σύμφωνα με το άρθρο 11 του νόμου 3471/2006, όπως έχει τροποποιηθεί με το νόμου 3917/2011, επιτρέπονται, εκτός και αν ο καλούμενος έχει προηγουμένως δηλώσει ότι δεν τις επιθυμεί (σύστημα “opt-out”).

Το σύστημα “opt-out” ισχύει τόσο για πελάτες του διαφημιζόμενου όσο και για κάθε πρόσωπο του οποίου τα στοιχεία αντλούνται από το δημόσιο κατάλογο συνδρομητών και για αυτό το σκοπό προβλέπεται και το σχετικό μητρώο συνδρομητών.

Το “opt-out” σημαίνει ότι τα φυσικά ή νομικά πρόσωπα μπορούν να “βγουν έξω” από τον κατάλογο των καλουμένων, απευθύνοντας τις αντιρρήσεις τους, όσον αφορά την επεξεργασία των δεδομένων τους, είτε ειδικά, απευθείας στον υπεύθυνο επεξεργασίας (διαφημιζόμενο), είτε γενικά, μέσω της εγγραφής τους στον ειδικό κατάλογο συνδρομητών του εκάστοτε παρόχου τηλεπικοινωνιακών υπηρεσιών (σταθερής και κινητής τηλεφωνίας).

Ο κάθε πάροχος τηλεφωνίας φέρει την υποχρέωση να τηρεί Δημόσιο Μητρώο με στοιχεία των συνδρομητών του, οι οποίοι έχουν ζητήσει να μην δέχονται τηλεφωνικές κλήσεις για απ’ ευθείας εμπορική προώθηση προϊόντων και υπηρεσιών και για κάθε είδους διαφημιστικούς σκοπούς. Στο Μητρώο αυτό έχει πρόσβαση όποιος ενδιαφέρεται να το χρησιμοποιήσει για απευθείας εμπορική προώθηση. Αυτό σημαίνει ότι, όποιος δεν επιθυμεί να δέχεται τηλεφωνικές κλήσεις αυτοματοποιημένης προώθησης προϊόντων ή/και υπηρεσιών, μπορεί να εγγραφεί στο παραπάνω Μητρώο το οποίο είναι δημόσιο.

Ο αριθμός τηλεφώνου ενός φυσικού προσώπου αποτελεί προσωπικό δεδομένο, αφού μπορεί να λειτουργήσει ως στοιχείο έμμεσης αναγνώρισης του κατόχου του επιτρέποντας την επικοινωνία με αυτόν. Η Απόφαση 13/2019 της AΠΔΠΧ αναφέρει: “Ειδικά κατά τη λειτουργία ηλεκτρονικών υπηρεσιών, τα στοιχεία έμμεσης αναγνώρισης, μπορούν επαρκώς σε ορισμένες περιπτώσεις να διακρίνουν ένα άτομο από άλλα στο πλαίσιο ενός συγκεκριμένου συνόλου, ακόμα και αν δεν έχει γίνει η εξακρίβωση του ονόματός του.”

Παρ’ ότι η διαφημιζόμενη εταιρεία επικαλέσθηκε το γεγονός ότι διέθετε ISO 27001: 2013, η AΠΔΠΧ δε έδειξε να συγκινείται, αφού δεν το έλαβε υπ’ όψη, καθότι η εταιρεία δεν ήταν συμμορφωμένη με τον GDPR.

Όσον αφορά το ζήτημα περί ενημέρωσης του φυσικού προσώπου κατά τη διάρκεια της κλήσης, ήταν εντελώς ανεπαρκής και μη σύμφωνη με τον GDPR, αφού, ακόμα κι όταν ζητήθηκε από τους καταγγέλλοντες, δεν δόθηκαν τα στοιχεία της. Σύμφωνα με τον GDPR, θα πρέπει το φυσικό πρόσωπο να γνωρίζει, μέσω ακριβούς ενημέρωσης, όλα τα στοιχεία της εταιρείας που τον καλεί. Συνεπώς, προκύπτει ότι ο υπεύθυνος επεξεργασίας, δηλαδή η διαφημιζόμενη εταιρεία, δεν ενημέρωνε ορθά για τα στοιχεία του.

Η AΠΔΠΧ επέβαλε, για τις παραπάνω παραβάσεις, πρόστιμο 5.000€.

Μία ακόμα ενδιαφέρουσα απόφαση της ΑΠΔΠΧ, η υπ’ αριθ.  12/2019 εκδόθηκε και αφορά μεγάλο δημόσιο οργανισμό. Παρ’ ό,τι δεν έχει ολοκληρωθεί ο φάκελος μέχρι στιγμής (έχει δοθεί προθεσμία στον οργανισμό για απαντήσεις ως προς τις καταγγελίες), αναμένεται με ενδιαφέρον η εξέλιξη της υπόθεσης.

Συγκεκριμένα, έχει γίνει καταγγελία, από 29 άτομα ότι σε συνέντευξη Τύπου του Προέδρου του εν λόγω οργανισμού… δημοσιοποιήθηκαν χωρίς τη συγκατάθεση ή συναίνεσή τους και χωρίς καμία προηγούμενη ενημέρωσή τους προσωπικά δεδομένα 29 ατόμων, τα οποία μάλιστα παρουσιάσθηκαν ελλιπώς και συνδυάστηκαν εσφαλμένως με αποτέλεσμα να δημοσιοποιούνται παράνομα στον Τύπο, στο διαδίκτυο και στα μέσα κοινωνικής δικτύωσης. Σύμφωνα με τις καταγγελίες κοινοποιήθηκαν τα στοιχεία που αφορούν, πέρα από το ονοματεπώνυμό τους, το ποσοστό συμμετοχής τους στο μετοχικό κεφάλαιο του οργανισμού, το τίμημα απόκτησης σε ευρώ και τη χρονολογία συμβολαίου απόκτησης.

Η AΠΔΠΧ έχει καλέσει τον οργανισμό, μεταξύ άλλων, να απαντήσει:

– Αν τα δεδομένα των μετόχων που γνωστοποιήθηκαν ήταν ήδη δημοσιοποιημένα ή είχαν ήδη καταστεί ευρύτερα γνωστά.

– Αν τα δεδομένα αυτά προϋπήρχαν στο αρχείο του οργανισμού ή σε άλλο προσβάσιμο από τον οργανισμό αρχείο.

– Αν ασκήθηκε από τους καταγγέλλοντες, ως υποκείμενα των δεδομένων κάποιο δικαίωμα (δικαίωμα πρόσβασης/αντίρρησης).

Αναμένονται εξελίξεις πάνω στο θέμα, όπως και σε άλλες αυτήν την εποχή εκκρεμείς υποθέσεις.

Οι τρεις αυτές αποφάσεις της ΑΠΔΠΧ σηματοδοτούν τη νέα εποχή που φέρει ο GDPR για την προστασία των ατομικών δικαιωμάτων και ελευθεριών των πολιτών.

Πρόκειται για σχετικά ήπιες, “προειδοποιητικές” αποφάσεις (παρ’ όλο που το πρόστιμο των 5.000€ δεν είναι διόλου ευκαταφρόνητο), όμως αποτελεί την αρχή, ως ένα “τράβηγμα αυτιού” σε σχέση με ό,τι μέλλεται να επακολουθήσει στα πρόστιμα και στις κυρώσεις. Μην ξεχνάμε ότι τα πρόστιμα, μπορούν να φτάσουν μέχρι 4 εκατ. ευρώ.